Innerhalb weniger Minuten ist die Malware wieder undetected Einstellungen

[Solution-Design]

1 Wert reicht, also entweder du vergleichst MD5 oder SHA1 oder... (wobei MD5 am unsichersten ist.)

MD5 nutze ich nur, um meinen Dokumenten-Ordner zu checken

[Gast_blueX_*]

Was ich nicht ganz verstehen kann: Je mehr Signaturen für diese Malware eingepflegt werden, desto schwerer müsste sie doch der Urheber undetected bekommen und desto leichter sollten doch die AVs die Malware erkennen können.

Bei vielen Signaturen für die Malware, muss es doch Überschneidungen geben.
Ich verstehe nicht warum alle Problem bei der Erkennung haben ...

[ChP]

Was ich nicht ganz verstehen kann: Je mehr Signaturen für diese Malware eingepflegt werden, desto schwerer müsste sie doch der Urheber undetected bekommen und desto leichter sollten doch die AVs die Malware erkennen können.
....

Das ist bei polymorpher Malware leider nicht so einfach. Hier greifen dann zuverlässig nur Techniken wie zum Beispiel Verhaltenserkennung.

[simracer]

Hier greifen dann zuverlässig nur Techniken wie zum Beispiel Verhaltenserkennung.

Das kann ich dir für Online Armor Free bescheinigen jedes der mittlerweile von mir 9-10 ausgeführten GVU Trojaner Files in den letzten Wochen wurde vom Online Armor Programmschutz gestoppt und eine Infektion des Systems verhindert .

[Gast_blueX_*]

Das ist bei polymorpher Malware leider nicht so einfach. Hier greifen dann zuverlässig nur Techniken wie zum Beispiel Verhaltenserkennung.

Das mag sein. Trotzdem fällt auf, dass zwei, drei AVs hervorragend damit umgehen können und schon sehr gute Signaturen bestehen.

[KasperskyFreaky]

Von welchem AV ist hier die Rede, blueX?

[Gast_blueX_*]

Nod32, Malwarebytes ...

[simracer]

Malwarebytes ist ja bekannt dafür das die stark sind bei Ransomsoftware und deshalb auch bei VT bei den ersten sind die Signaturen dafür haben. Ich meine aber auch gesehen zu haben das Emsisoft immer schnell mit Signaturen da war bei den GVU Trojaner Files(zumindest bei denen die ich getestet habe).

[SLE]

Einige Hersteller tracken diese Seite mittlerweile und da kann man Signaturen recht schnell generieren. Andere blocken die Seite mittels Blacklists/Webfiltern etc. - real life. Dritte haben andere Kriterien um der Malwareflut Herr zu werden - Relevanz, Verbreitung etc. und da wird dann eben auf das geachtet was im Umlauf ist und nicht was der Suchende irgendwo findet, womit man aber sonst nie in Verbindung kommt. Direkt kommt man ja nie auf diese Links, wo es genug andere dieser Art gibt.

Ich sehe hier null Rückschlussmöglichkeit auf Sorgfalt oder Signaturenqualität, dies auch weil es hier auch nicht wirklich um polymorphe Malware handlet oder permanent um Ransomware. Es werden und wurden unter demselben Dateinamen verschiedenste Malwaredateien bereitgestellt. (Von ein paar popeligen Ransoms über ZeroAccess und Sinowal war da bei meinen Beobachtungen alles dabei).

Der Beitrag wurde von SLE bearbeitet: 17.03.2013, 12:31

[simracer]

Es werden und wurden unter demselben Dateinamen verschiedenste Malwaredateien bereitgestellt

Bei den 9-10 Files die ich dort runtergeladen und ausgeführt hatte, handelte es sich jedes mal um GVU Trojaner.

[SLE]

GVU Trojaner.

Was ist ein GVU-Trojaner?

[simracer]

Na die mit dem "schönen" Sperrbildschirm.

[lotion]

http://urlquery.net/report.php?id=203249

immmer die selbe ip
2013-02-13 18:58:09 1 / 0 http://motherxhubtbo.ddns.name/latest/anim...x-video.avi.exe [Hungary] 94.199.53.203
2013-02-13 18:47:11 1 / 1 http://motherxhubjwf.dnset.com/latest/anim...n-movie.avi.exe [Hungary] 94.199.53.203
2013-02-13 17:37:45 1 / 0 http://motherxhubtov.dnset.com/latest/anim...x-video.avi.exe [Hungary] 94.199.53.203


VT
https://www.virustotal.com/de/file/24049994...sis/1363532931/

and

VT
https://www.virustotal.com/de/file/24049994...sis/1363532957/

Die urls hier gehören alle dazu

QUELLTEXT

proxtubes.in
motherxhubbca.ddns.name
asianxhubipa.ddns.name
motherxhubpua.ddns.name
motherxhubphb.ddns.name
asianxhuboob.ddns.name
motherxhubzbc.ddns.name
asianxhubalc.ddns.name
asianxhubgoc.ddns.name
asianxhubxqc.ddns.name
asianxhubuwc.ddns.name
asianxhubgfd.ddns.name
motherxhubjjd.ddns.name
motherxhubrrd.ddns.name
asianxhubmxd.ddns.name
motherxhubaoe.ddns.name
asianxhubote.ddns.name
asianxhubsue.ddns.name
asianxhubkff.ddns.name
motherxhubijf.ddns.name
motherxhubujf.ddns.name
asianxhubanf.ddns.name
asianxhubnuf.ddns.name
asianxhubewf.ddns.name
asianxhubfhg.ddns.name
motherxhubtkg.ddns.name
asianxhubnwg.ddns.name
motherxhubceh.ddns.name
motherxhubfci.ddns.name
motherxhubtoi.ddns.name
motherxhubdri.ddns.name
asianxhubyri.ddns.name
asianxhubmvi.ddns.name
asianxhublwi.ddns.name
asianxhubwej.ddns.name
asianxhubdhj.ddns.name
motherxhubajj.ddns.name
motherxhubomj.ddns.name
asianxhubcoj.ddns.name
asianxhubxvj.ddns.name
motherxhubbyj.ddns.name
asianxhubnak.ddns.name
motherxhubmgk.ddns.name
asianxhubgrk.ddns.name
asianxhubcvk.ddns.name
asianxhubpal.ddns.name
asianxhubkdl.ddns.name
asianxhubsrl.ddns.name
motherxhubaym.ddns.name
asianxhublbn.ddns.name
motherxhubion.ddns.name
asianxhubmrn.ddns.name
motherxhublyn.ddns.name
asianxhubqbo.ddns.name
asianxhubxqo.ddns.name
asianxhubwro.ddns.name
asianxhubjwo.ddns.name
motherxhubecp.ddns.name
asianxhubjdp.ddns.name
asianxhubfhp.ddns.name
motherxhubmlp.ddns.name
asianxhubptp.ddns.name
asianxhubhvp.ddns.name
motherxhubpzp.ddns.name
motherxhubzfq.ddns.name
motherxhubktq.ddns.name
asianxhubkuq.ddns.name
asianxhubqbr.ddns.name
motherxhubrcr.ddns.name
adivoxtubeddr.ddns.name
asianxhuboer.ddns.name
asianxhubifr.ddns.name
asianxhubtmr.ddns.name
asianxhubumr.ddns.name
asianxhubanr.ddns.name
asianxhubrrr.ddns.name
asianxhubgyr.ddns.name
asianxhubczr.ddns.name
asianxhubdps.ddns.name
asianxhubmps.ddns.name
asianxhubptt.ddns.name
motherxhubtvt.ddns.name
asianxhubygu.ddns.name
motherxhubqtu.ddns.name
motherxhubvtu.ddns.name
asianxhubgov.ddns.name
asianxhubnvv.ddns.name
motherxhubppw.ddns.name
asianxhubbsw.ddns.name
asianxhubgvw.ddns.name
asianxhubtcx.ddns.name
asianxhubcrx.ddns.name
asianxhubtwx.ddns.name
asianxhuboby.ddns.name
motherxhubxny.ddns.name
motherxhubhsy.ddns.name
asianxhubbzy.ddns.name
asianxhubvdz.ddns.name
motherxhubhlz.ddns.name
asianxhubymz.ddns.name
asianxhubenz.ddns.name
motherxhubloz.ddns.name
motherxhubaea.dnset.com
asianxhubrwa.dnset.com
asianxhubkjb.dnset.com
analxxxclipsqxb.dnset.com
asianxhubkjc.dnset.com
asianxhubauc.dnset.com
asianxhubcxc.dnset.com
asianxhublxc.dnset.com
asianxhubbcd.dnset.com
asianxhubbhd.dnset.com
asianxhubdod.dnset.com
asianxhubjsd.dnset.com
motherxhubape.dnset.com
motherxhubfwe.dnset.com
analxxxclipskwe.dnset.com
asianxhubixe.dnset.com
asianxhubwof.dnset.com
asianxhubaxf.dnset.com
motherxhubeyf.dnset.com
analxxxclipslfg.dnset.com
motherxhubqig.dnset.com
motherxhubxng.dnset.com
asianxhubdug.dnset.com
asianxhubuyg.dnset.com
asianxhubmzg.dnset.com
asianxhubyoh.dnset.com
motherxhubawh.dnset.com
asianxhuboji.dnset.com
motherxhubcli.dnset.com
analxxxclipshoi.dnset.com
asianxhubgti.dnset.com
asianxhubhaj.dnset.com
motherxhubrcj.dnset.com
motherxhubwmj.dnset.com
asianxhubttj.dnset.com
motherxhubgwj.dnset.com
asianxhubwbk.dnset.com
asianxhubjgk.dnset.com
motherxhubehk.dnset.com
asianxhubphk.dnset.com
asianxhubcal.dnset.com
motherxhubhfl.dnset.com
motherxhubkhl.dnset.com
asianxhubnkl.dnset.com
motherxhubkml.dnset.com
asianxhubnwl.dnset.com
motherxhublmm.dnset.com
asianxhubazm.dnset.com
asianxhubran.dnset.com
motherxhubjon.dnset.com
promosextubemun.dnset.com
asianxhubwvn.dnset.com
asianxhubvco.dnset.com
asianxhubaoo.dnset.com
asianxhubyso.dnset.com
analxxxclipsjvo.dnset.com
asianxhubgbp.dnset.com
motherxhubrlp.dnset.com
motherxhubyxp.dnset.com
asianxhubfhq.dnset.com
motherxhubvnq.dnset.com
asianxhubryq.dnset.com
asianxhubber.dnset.com
promosextubethr.dnset.com
analxxxclipsucs.dnset.com
motherxhubhus.dnset.com
motherxhubizs.dnset.com
motherxhubzht.dnset.com
motherxhubfmt.dnset.com
asianxhubeot.dnset.com
motherxhubtyt.dnset.com
asianxhubycu.dnset.com
motherxhubqnu.dnset.com
asianxhubsuu.dnset.com
motherxhubgwu.dnset.com
motherxhubovv.dnset.com
asianxhubllw.dnset.com
asianxhubgxx.dnset.com
asianxhubjpy.dnset.com
asianxhublty.dnset.com
motherxhubavy.dnset.com
asianxhubsmz.dnset.com
ixpornstarsrjg.ontheweb.nu
amandapornhub1.info
amandapornhub10.info
amandapornhub2.info
amandapornhub3.info
amandapornhub4.info
amandapornhub5.info
amandapornhub6.info
amandapornhub7.info
amandapornhub8.info
amandapornhub9.info
adivoxtubeesv.ddns.name
adivoxtubexyk.dnset.com
analxxxclipspuh.ddns.name
analxxxclipsqic.ddns.name
analxxxclipsyjh.dnset.com
asianxhuboob.ddns.name
asianxhubztm.dnset.com
avisaxmovshdb.myftp.org
avisaxmovswoo.myvnc.com
bondxtubedta.co.cc
bondxtubeeic.co.cc
bondxtubetcq.co.cc
bountyxtubewty.co.cc
cherryporntube.in
criptxvidsegc.co.cc
drunkporntube.in
evaporntv9.info
goldporntube.in
hqadulttube.in
mianlinks.info
milfandsex.in
newcooltube.in
newcooltube.in
ns1.proxtubes.in
promosextubednt.ddns.name
promosextuberor.ddns.name
promosextuberql.ddns.name
promosextubersm.ddns.name
promosextuberyp.dnset.com
promosextubesfe.ddns.name
promosextubestm.ddns.name
promosextubevre.ddns.name
redpornhub7.pro
roundasstube.in
sexadvanced.in
sextubestore.in
tubeplanetves.co.cc
tubesworldgly.co.cc
videosexhub.info
xamateurpornlic.www1.biz
xpornstaraeg.zyns.com
xpornstarsckc.ddns.name
zajebaloxtube5.info
zoferxtube1.info
zoferxtube10.info
zoferxtube2.info
zoferxtube3.info
zoferxtube4.info
zoferxtube5.info
zoferxtube6.info
zoferxtube7.info
zoferxtube8.info
zoferxtube9.info

Der Beitrag wurde von lotion bearbeitet: 17.03.2013, 17:09

[simracer]

Was ist ein GVU-Trojaner?

Und wie würdest du dann so etwas:

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Daten: explorer.exe,C:\Dokumente und Einstellungen\\Anwendungsdaten\skype.dat -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\\Anwendungsdaten\skype.dat (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\\desktop\animal-sex-video.avi.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.

bezeichnen?
(Das Logfile wurde vor der Bereinigung von mir gespeichert)
Quelle des Files: siehe vorheriges Posting von lotion.

Der Beitrag wurde von simracer bearbeitet: 17.03.2013, 16:43

[SLE]

Und wie würdest du dann so etwas bezeichnen?

Eine stinknormale WinLocker/Ransom Variante, die schön dynamisch das Land erkennt und in Deutschland dann auf dem Sperrbildschirm GVU/GEMA/BKA etc. anzeigt, in anderen Ländern anderes.
Deshalb gibt es dennoch keinen GVU / GEMA oder BKA Virus oder auch Trojaner. Solche umgangssprachlichen Bezeichnungen verwirren mehr, als das sie irgendwo helfen...

Der Beitrag wurde von SLE bearbeitet: 17.03.2013, 17:29

[simracer]

Die Files werden halt umgangssprachlich GVU Trojaner/Virus(vorher BKA/GEMA) so in den Foren genannt/bezeichnet SLE Fakt ist(hoffentlich stimmst du da zu)das noch viele Virenschutz Programme Probleme damit haben diese zu erkennen wenn neue Varianten dieser Ransomsoftware auftauchen.

Der Beitrag wurde von simracer bearbeitet: 17.03.2013, 17:35

[Tiranon]

@lotion: habe ich das richtig verstanden? Alle URLs oben in deiner Liste sind GVU/GEMA-Trojaner?

[SLE]

Die Files werden halt umgangssprachlich GVU Trojaner/Virus(vorher BKA/GEMA) so in den Foren genannt/bezeichnet ...

Deshalb ist es trotzdem falsch...und hat mehr Chaos als Klarheit geschafft.

Frage: "Hilfe ich habe den GEMA - Virus" Antwort: "Nehme Malwarebytes, blah blah". Haarsträubend

Klar ist die Erkennung per Signatur schwer. Sind halt recht einfache Baukästen für diese Files und die Masche ist recht lukrativ deshlab wird viel generiert. Aber HIPSe und BBs haben das mittlerweile drauf.

@Tiranon: Nein. Die lösen alle zur selben IP auf und dort gibt es verschiedenste schnell wechselnde Files und ab und an sind Ransom's bei, oft Müll etc.

Der Beitrag wurde von SLE bearbeitet: 17.03.2013, 17:43

[simracer]

Frage: "Hilfe ich habe den GEMA - Virus" Antwort: "Nehme Malwarebytes, blah blah". Haarsträubend

Besserer Vorschlag von dir für betroffenen ONU der kein aktuelles Systembackup hat?
Und: es funktioniert wenn man Malwarebytes als "Bereiniger" installiert hat(mit nicht zu alten Signaturen).

Der Beitrag wurde von simracer bearbeitet: 17.03.2013, 17:48

[Tiranon]

Ab ca. 3:40

http://www.youtube.com/watch?v=kNKc7DuRJ_8